Caçadores de ameaças expuseram as táticas de um ator de ameaças alinhado com a China, chamado UnsolicitedBooker, que visou uma organização internacional não identificada na Arábia Saudita com um backdoor anteriormente não documentado apelidado de MarsSnake.
A ESET, que descobriu pela primeira vez as intrusões do grupo de hackers visando a entidade em março de 2023 e novamente um ano depois, disse que a atividade aproveita e-mails de spear-phishing usando bilhetes de avião como iscas para infiltrar-se em alvos de interesse.
"UnsolicitedBooker envia e-mails de spear-phishing, geralmente com um bilhete de avião como isca, e seus alvos incluem organizações governamentais na Ásia, África e Oriente Médio," disse a empresa em seu último Relatório de Atividade APT para o período de outubro de 2024 a março de 2025.
Os ataques montados pelo ator de ameaças são caracterizados pelo uso de backdoors como Chinoxy, DeedRAT, Poison Ivy e BeRAT, que são amplamente utilizados por equipes de hackers chineses.
Avalia-se que UnsolicitedBooker compartilhe sobreposições com um cluster rastreado como Space Pirates e um cluster de atividades de ameaças não atribuídas que foi encontrado implantando um backdoor codinome Zardoor contra uma organização islâmica sem fins lucrativos na Arábia Saudita.
A última campanha, detectada pela empresa de cibersegurança eslovaca em janeiro de 2025, envolveu o envio de um e-mail de phishing alegando ser da Saudia Airlines para a mesma organização saudita sobre uma reserva de voo.
"Um documento do Microsoft Word é anexado ao e-mail, e o conteúdo isca [...] é um bilhete de avião que foi modificado mas é baseado em um PDF que estava disponível online no site Academia, uma plataforma para compartilhamento de pesquisas acadêmicas que permite o upload de arquivos PDF," disse a ESET.
O documento Word, uma vez lançado, aciona a execução de uma macro VBA que decodifica e escreve no sistema de arquivos um executável ("smssdrvhost.exe") que, por sua vez, atua como um carregador para MarsSnake, um backdoor que estabelece comunicações com um servidor remoto ("contact.decenttoy[.]top").
"As múltiplas tentativas de comprometer esta organização em 2023, 2024 e 2025 indicam um forte interesse por parte do UnsolicitedBooker nesse alvo específico," disse a ESET.
A divulgação vem como outro ator de ameaça chinês rastreado como PerplexedGoblin (também conhecido como APT31) que visou uma entidade governamental da Europa Central em dezembro de 2024 para implantar um backdoor de espionagem referido como NanoSlate.
A ESET também identificou ataques contínuos de DigitalRecyclers em entidades governamentais da União Europeia, utilizando a rede de relay box operacional KMA VPN (ORB) para ocultar seu tráfego de rede e implantando os backdoors RClient, HydroRShell e GiftBox.
O DigitalRecyclers foi detectado pela primeira vez pela empresa em 2021, embora acredite-se que esteja ativo desde pelo menos 2018.
"Provavelmente ligado ao Ke3chang e BackdoorDiplomacy, DigitalRecyclers opera dentro da galáxia APT15," disse a ESET.
Eles implantam o implante RClient, uma variante do ladrão Project KMA.
Em setembro de 2023, o grupo introduziu um novo backdoor, HydroRShell, que utiliza o Protobuf do Google e Mbed TLS para comunicações C&C.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...